Techniky redukce datové sady pro DDoS klasifikaci

Abstract

DDoS (Distributed Denial-of-Service) útoky představují rostoucí hrozbu pro internetovou infrastrukturu a vyžadují účinné strategie pro jejich mitigaci. Pro urychlení mitigace DDoS útoků v reálném čase je vyvíjena metoda automatického odvození pravidel pro filtraci útoků DDoS, která vyžaduje jako vstup dvě datové sady ve formátu PCAP: jednu obsahující legitimní provoz a druhou se záznamem právě probíhajícího útoku. Cílem metody je generovat pravidla, která detekují útoky a zároveň minimalizují zásah do legitimního provozu. Tato práce se zaměřuje na konstrukci kompaktní, ale rozmanité datové sady legitimního provozu. Představujeme a vyhodnocujeme několik algoritmů pro redukci rozsáhlých datových záznamů legitimního provozu se snahou zachovat jejich variabilitu a zároveň výrazně snížit jejich velikost. Cílem této práce je nalézt metodu, která nejlépe vyvažuje kompaktnost a variabilitu dat a zároveň vede k tvorbě pravidel, která do mitigace zahrnují co nejmenší podíl legitimního provozu. Kvalita zredukovaných datových sad je hodnocena statisticky I na základě výsledné účinnosti odvozených pravidel. Výsledky ukazují, že navržené metody vedou k tvorbě datových sad s vyšší variabilitou než jakou mají neredukované záznamy stejné velikosti a přispívají k tvorbě pravidel, která do mitigace zahrnují menší podíl legitimního provozu než při použití neredukovaných záznamů stejné velikosti.Distributed Denial-of-Service (DDoS) attacks are a growing threat to the Internet infrastructure and require effective strategies to mitigate them. To accelerate real-time mitigation of DDoS attacks, a method to automatically derive rules for filtering DDoS attacks is being developed that requires two datasets as input, both in the form of PCAP files: one containing legitimate traffic and the other with a record of an ongoing attack. The goal of the method is to generate rules that detect attacks while minimizing interference with legitimate traffic. This paper focuses on the construction of a compact but diverse dataset of legitimate traffic. We present and evaluate several algorithms for reducing large data sets of legitimate traffic in an attempt to preserve their variability while significantly reducing their size. The goal of this work is to find a reduction method that best balances data compactness and variability while leading to rules that minimize the proportion of legitimate traffic included in the mitigation. The quality of the reduced datasets is evaluated statistically and based on the resulting effectiveness of the inferred rules. The results show that the proposed methods lead to datasets with higher variability than that of unreduced records of the same size, and contribute to the creation of rules that include a smaller proportion of legitimate traffic in mitigation than when using unreduced records of the same size.